Prop#329 Pool: Handle pre-building and using conflux sets.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Prop#329 Pool: Avoid sharing Guards and Middles between circuits.

Conflux must not use the same Guard for each leg; nor the same middle for each
leg.

Prop#329 Pool: Handle linking, unlinking, and relaunching conflux circuit legs.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Prop#329 streams: Handle stream usage with conflux

This adds utility functions to help stream block decisions, as well as cpath
layer_hint checks for stream cell acceptance, and syncing stream lists
for conflux circuits.

These functions are then called throughout the codebase to properly manage
conflux streams.

Refactor stream blocking due to channel cell queues

Streams can get blocked on a circuit in two ways:
  1. When the circuit package window is full
  2. When the channel's cell queue is too high

Conflux needs to decouple stream blocking from both of these conditions,
because streams can continue on another circuit, even if the primary circuit
is blocked for either of these cases.

However, both conflux and congestion control need to know if the channel's
cell queue hit the highwatermark and is still draining, because this condition
is used by those components, independent of stream state.

Therefore, this commit renames the 'streams_blocked_on_chan' variable to
signify that it refers to the cell queue state, and also refactors the actual
stream blocking bits out, so they can be handled separately if conflux is
present.

Prop#329: Add purposes for conflux circuits

Because UNLINKED circuits must never be used for streams, but LINKED circuits
can be, we want these separate.

Prop#329 sendme: Adjust sendme sending and tracking for conflux

Because circuit-level sendmes are sent before relay data cells are processed,
we can safely move this to before the conflux decision. In this way,
regardless of conflux being negotiated, we still send sendmes as soon as data
cells are recieved. This avoids introducing conflux queue delay into RTT
measurement, which is important for measuring actual circuit capacity.

The circuit-level tracking must happen inside the call to send a data cell,
since that call now chooses a circuit to send on. Turns out, we were already
doing this kind of here, but only for the digest. Now we do both things here.

Prop#329 OOM: Handle freeing conflux queues on OOM

We use the oldest-circ-first method here, since that seems good for conflux:
queues could briefly spike, but the bad case is if they are maliciously
bloated to stick around for a long time.

The tradeoff here is that it is possible to kill old circuits on a relay
quickly, but that has always been the case with this algorithm choice.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Prop#329 Algs: Conflux multiplexed cell sending decision algs

Prop#329 Algs: Conflux multiplexed cell receive handling

Prop#329 Headers: Header files for conflux

Prop#329 params: Consensus parameter and torrc handling

Signed-off-by: David Goulet <dgoulet@torproject.org>

Prop#329 Tests: Add tests for conflux cells.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Prop#329 Cells: Building and parsing parsing conflux commands

Signed-off-by: David Goulet <dgoulet@torproject.org>

trunnel: Add Conflux related cell definition

Signed-off-by: David Goulet <dgoulet@torproject.org>

protover: Support Relay=5 for Conflux (prop329)

Closes #40721

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.7'

gitignore: Add tags file from ctags

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/700'

metrics: Add HS service side circuit build time metrics.

This adds 2 histogram metrics for hidden services:
* `tor_hs_rend_circ_build_time` - the rendezvous circuit build time in milliseconds
* `tor_hs_intro_circ_build_time` - the introduction circuit build time in milliseconds

The text representation representation of the new metrics looks like this:
```
# HELP tor_hs_rend_circ_build_time The rendezvous circuit build time in milliseconds
# TYPE tor_hs_rend_circ_build_time histogram
tor_hs_rend_circ_build_time_bucket{onion="<elided>",le="1000.00"} 2
tor_hs_rend_circ_build_time_bucket{onion="<elided>",le="5000.00"} 10
tor_hs_rend_circ_build_time_bucket{onion="<elided>",le="10000.00"} 10
tor_hs_rend_circ_build_time_bucket{onion="<elided>",le="30000.00"} 10
tor_hs_rend_circ_build_time_bucket{onion="<elided>",le="60000.00"} 10
tor_hs_rend_circ_build_time_bucket{onion="<elided>",le="+Inf"} 10
tor_hs_rend_circ_build_time_sum{onion="<elided>"} 10824
tor_hs_rend_circ_build_time_count{onion="<elided>"} 10
# HELP tor_hs_intro_circ_build_time The introduction circuit build time in milliseconds
# TYPE tor_hs_intro_circ_build_time histogram
tor_hs_intro_circ_build_time_bucket{onion="<elided>",le="1000.00"} 0
tor_hs_intro_circ_build_time_bucket{onion="<elided>",le="5000.00"} 6
tor_hs_intro_circ_build_time_bucket{onion="<elided>",le="10000.00"} 6
tor_hs_intro_circ_build_time_bucket{onion="<elided>",le="30000.00"} 6
tor_hs_intro_circ_build_time_bucket{onion="<elided>",le="60000.00"} 6
tor_hs_intro_circ_build_time_bucket{onion="<elided>",le="+Inf"} 6
tor_hs_intro_circ_build_time_sum{onion="<elided>"} 9843
tor_hs_intro_circ_build_time_count{onion="<elided>"} 6
```

Signed-off-by: Gabriela Moldovan <gabi@torproject.org>

metrics: Add support for histograms.

This will enable us to add e.g. circuit build metrics (#40717).

Signed-off-by: Gabriela Moldovan <gabi@torproject.org>

Update 3 files

- /src/feature/dirauth/process_descs.c
- /src/test/test_process_descs.c
- /changes/ticket40760

Merge branch 'tor-gitlab/mr/697'

metrics: Add a `reason` label to the HS error metrics.

This adds a `reason` label to the `hs_intro_rejected_intro_req_count` and
`hs_rdv_error_count` metrics introduced in #40755.

Metric look up and intialization is now more a bit more involved. This may be
fine for now, but it will become unwieldy if/when we add more labels (and as
such will need to be refactored).

Also, in the future, we may want to introduce finer grained `reason` labels.
For example, the `invalid_introduce2` label actually covers multiple types of
errors that can happen during the processing of an INTRODUCE2 cell (such as
cell parse errors, replays, decryption errors).

Signed-off-by: Gabriela Moldovan <gabi@torproject.org>

Merge branch 'tor-gitlab/mr/696'

Merge branch 'maint-0.4.7'

scripts: Bye bye 0.4.5, you have reached end of life

Signed-off-by: David Goulet <dgoulet@torproject.org>

metrics: Add metrics for rendezvous and introduction request failures.

This introduces a couple of new service side metrics:
* `hs_intro_rejected_intro_req_count`, which counts the number of introduction
  requests rejected by the hidden service
* `hs_rdv_error_count`, which counts the number of rendezvous errors as seen by
  the hidden service (this number includes the number of circuit establishment
  failures, failed retries, end-to-end circuit setup failures)

Closes #40755. This partially addresses #40717.

Signed-off-by: Gabriela Moldovan <gabi@torproject.org>

Reworded OpenSSL bug 7712 detection warning to avoid OpenSSL 1.1.1b detection false positive.

vote AuthDirMaxServersPerAddr in consensus params

Directory authorities now include their AuthDirMaxServersPerAddr
config option in the consensus parameter section of their vote. Now
external tools can better predict how they will behave.

In particular, the value should make its way to the
https://consensus-health.torproject.org/#consensusparams page.

Once enough dir auths vote this param, they should also compute a
consensus value for it in the consensus document. Nothing uses this
consensus value yet, but we could imagine having dir auths consult it
in the future.

Implements ticket 40753.

Merge branch 'maint-0.4.7'

metrics: Decrement hs_intro_established_count on intro circuit close.

Closes #40751.

Signed-off-by: Gabriela Moldovan <gabi@torproject.org>

Update `find_service` documentation.

This updates the docs to stop suggesting `pk` can be NULL, as that doesn't seem
to be the case anymore (`tor_assert(pk)`).

Signed-off-by: Gabriela Moldovan <gabi@torproject.org>

Extend blinding testvec with timeperiod test.

When I copied this to arti, I messed up and thought that the default
time period was 1440 seconds for some weird testing reason. That led
to confusion.

This commit adds a test case that time period 1440 is May 20, 1973:
now arti and c tor match!

Fix small typo in mainloop.c docs.

The docs should reference `tor_event_new()` rather than `tor_libevent_new()`.

Signed-off-by: Gabriela Moldovan <gabi@torproject.org>

Fix typos

fix trivial typos

Merge branch 'tor-gitlab/mr/686'

Merge branch 'maint-0.4.7'

Merge branch 'tor-gitlab/mr/687' into maint-0.4.7

Merge branch 'maint-0.4.7'

Merge branch 'maint-0.4.5' into maint-0.4.7

compress_lzma: New enum values from liblzma 5.3.x

Add new liblzma enums (LZMA_SEEK_NEEDED and LZMA_RET_INTERNAL*)
conditional to the API version they arrived in. The first stable
version of liblzma this affects is 5.4.0

Fixes #40741

Signed-off-by: Micah Elizabeth Scott <beth@torproject.org>

relay: Use the right max queue size value in log

Fixes #40745

Signed-off-by: David Goulet <dgoulet@torproject.org>

Add a test vector for disaster SRV calculation.

compress_lzma: New enum values from liblzma 5.3.x

Add new liblzma enums (LZMA_SEEK_NEEDED and LZMA_RET_INTERNAL*)
conditional to the API version they arrived in. The first stable
version of liblzma this affects is 5.4.0

Fixes #40741

Signed-off-by: Micah Elizabeth Scott <beth@torproject.org>

Add more test-vectors for key blinding.

These are verified-as-correct against the current C implementation;
adding them here gives us something to copy into Arti.

Fix compiler warnings about unused variables

Fixes #40743

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/683'

Add a test vector for crypto_mac_sha3

doc: Add tpo website update to ReleasingTor.md

Signed-off-by: David Goulet <dgoulet@torproject.org>

changelog: Update with latest releases

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.7'

version: Bump version to 0.4.7.13-dev

Merge branch 'maint-0.4.5' into maint-0.4.7

version: Bump version to 0.4.5.16-dev

Merge branch 'maint-0.4.7'

version: Bump version to 0.4.7.13

Merge branch 'maint-0.4.5' into maint-0.4.7

version: Bump version to 0.4.5.16

Merge branch 'maint-0.4.7'

Merge branch 'maint-0.4.5' into maint-0.4.7

fallbackdir: Update list generated on January 12, 2023

Update geoip files to match ipfire location db, 2023/01/12.

Merge branch 'maint-0.4.7'

Merge branch 'maint-0.4.5' into maint-0.4.7

Merge branch 'ticket40730_045_01' into maint-0.4.5

Merge branch 'maint-0.4.7'

dirauth: Reject 0.4.6.x series at the authority level

Closes #40664

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.7'

Coverity CID 1518991: Tighter bounds on consensus param value.

This prevents sign extension overflow in cwnd_became_full().

Merge branch 'maint-0.4.7'

Merge branch 'maint-0.4.5' into maint-0.4.7

Merge branch 'tor-gitlab/mr/538' into maint-0.4.5

Merge branch 'maint-0.4.7'

Do not reset our RTT in slow start.

If a circuit only sends a tiny amount of data such that its cwnd is not
full, it won't increase its cwnd above the minimum. Since slow start circuits
should never hit the minimum otherwise, we can just ignore them for RTT reset
to handle this.

Merge branch 'maint-0.4.7'

Merge branch 'tor-gitlab/mr/678'

cc: Rename function to avoid confusion

Signed-off-by: David Goulet <dgoulet@torproject.org>

Changes file for bug 40732

Safety fixes to RFC3742

Reduce size of congestion control next_*_event fields.

Since these are derived from the number of SENDMEs in a cwnd/cc update,
and a cwnd should not exceed ~10k, there's plenty of room in uint16_t
for them, even if the network gets significantly faster.

Clean up next_cc_event handling.

Avoid increasing the congestion window if it is not full.

Also provides some stickiness, so that once full, the congestion window is
considered still full for the rest of an update cycle, or the entire
congestion window.

In this way, we avoid increasing the congestion window if it is not fully
utilized, but we can still back off in this case. This substantially reduces
queue use in Shadow.

Merge branch 'tor-gitlab/mr/676'

Merge branch 'mr-674-fixup' into main+mr-674-fixup

Merge branch 'maint-0.4.7'

Merge branch 'tor-gitlab/mr/675' into maint-0.4.7

cc: Rename function to avoid confusion

Signed-off-by: David Goulet <dgoulet@torproject.org>

Changes file for bug 40732

Safety fixes to RFC3742

Reduce size of congestion control next_*_event fields.

Since these are derived from the number of SENDMEs in a cwnd/cc update,
and a cwnd should not exceed ~10k, there's plenty of room in uint16_t
for them, even if the network gets significantly faster.

Clean up next_cc_event handling.

Avoid increasing the congestion window if it is not full.

Also provides some stickiness, so that once full, the congestion window is
considered still full for the rest of an update cycle, or the entire
congestion window.

In this way, we avoid increasing the congestion window if it is not fully
utilized, but we can still back off in this case. This substantially reduces
queue use in Shadow.

state: Fix segfault on malformed file

Having no TotalBuildTimes along a positive CircuitBuildAbandonedCount
count lead to a segfault. We check for that condition and then BUG + log
warn if that is the case.

It should never happened in theory but if someone modified their state
file, it can lead to this problem so instead of segfaulting, warn.

Fixes #40437

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.7'

shellcheck: Fix new warnings

Nothing important, mostly false positive except one case.

Signed-off-by: David Goulet <dgoulet@torproject.org>

sandbox: Allow my-consensus-* files for an authority

Fixes #40729

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/668'

Add back comments about Stable/familiar decay

Closes: #40734.